Lesetipps: Threema hat Pläne, ein Ransomware-Angriff, Sicherheitslücken

Kommentare zu folgendem Beitrag: Lesetipps: Threema hat Pläne, ein Ransomware-Angriff, Sicherheitslücken

Thema CSU:

https://tarnkappe.info/forum/t/csu-webseite-der-landtagsfraktion-voller-kritischer-sicherheitsluecken/7258/5

:thinking: :wink: :joy:

Verflixt … das ist mit tatsächlich irgendwie vom Schirm gerutscht.

1 Like

@Sunny

P.S.
Habe auch mal per Brute-Force versucht, ins CSU Intranet zu kommen! Siehe da…

Benutzername: M.Söder

Alias: ThomasDerVollstrecker

Passwort: Agenda2021-ICH=Kanzler,und_sonst_KEINER!

So eine hohe Passwortstärke hätte ich dem gar nicht zugetraut !! :sunglasses: :rofl: :rofl:

Zu Threema:

Ohne jetzt tief in die Materie eintauchen zu wollen - vom Konzept her ist der für deren neue Funktionalität notwendige „Mediator-Server“ in einer privilegierten Position, er diktiert die „Wahlen“ der „Master“-Nodes und ist ein Chokepoint für Signalisierungstraffic.

Könnte ein Schwachpunkt sein.

Bin inzwischen so paranoid nur noch echtes P2P/Mesh-Networking ernstzunehmen, oder föderale, von unabhängigen Admins verwaltete verteilte Infrastrukturen mit bewiesenem Track Record wie Jabber.

PS: Krypto-Unternehmen, die damit werben aus der Schweiz zu sein sind mir suspekt.

1 Like

Wieso? Letztendlich ist der Mediator nichts anderes, als ein erweiterter Proxy, der unter anderem einen erweiterten Security-Layer in der Kommunikation zwischen beiden Seiten einführt!
Der Chatserver von Threema verwendet TCP als Transportprotokoll. Aus technischen Gründen benötigt der Mediator-Server vollst. WebSocket-Unterstützung. Anstatt den Chat-Server mit dem WebSocket-Protokoll auszustatten, wird der Mediator-Server dieses Protokoll unterstützen, und die Kommunikation zwischen Chat-Server und Multi-Device-Clients wird über den Mediator-Server proxyseitig abgewickelt.
Ein willkommener Nebeneffekt dieser Proxying-Technik ist die Tatsache, dass der Chatserver nicht in der Lage ist, IP-Adressen mit Threema-IDs zu korrelieren. Und dank der anonymen Gerätegruppierung gilt dasselbe für den Mediator-Server.
Während Threema natürlich einen offiziellen Mediator-Server zur Verfügung stellt, können die Benutzer auf Wunsch auch ihren eigenen Mediator-Server selbst hosten. Dabei geben die Benutzer dem Chatserver von Threema nur die IP-Adressen ihrer Mediatorenserver, nicht aber die IP-Adressen ihrer Geräte bekannt, wodurch sich die Menge der Metadaten auf der Seite von Threema noch einmal verringert.
Und das eine Reduzierung sämtlicher Meta-Daten im Gesamten, eigentlich immer einen Hinzugewinn an Kommunikations-Sicherheit bedeutet, sollte wohl klar sein!
Natürlich hat in diesem Konstrukt der „Mediator-Server“ eine priviligierte Position…Diese ist allerdings auch nicht höher oder niedriger zu bewerten, wie die Position des eigentlichen Chat-Servers!

Sorry, bin zu faul jetzt die Spec zu lesen. Synchronisierte Mehrgerätelösungen waren bei E2E-Verschlüsselung nicht ohne Grund lange ein nicht zufriedenstellend lösbares Problem, doch nun kommt Threema und erklärt, dass das furchtbar einfach und selbsterklärend war.

Dann mal Punkt für Punkt:

Ein neuer «Mediator-Server» wird Geräten, welche ihre Threema-ID mit anderen Geräten teilen, als Knotenpunkt dienen.
(Hervorhebung durch mich)
Soweit die Prämisse. Ob das schon der Denkfehler war?

Aber ganz in Ruhe:

Die Hauptaufgaben des Mediator-Servers sind:

Zugriff auf den Chat-Server koordinieren
Eigenartige Wortwahl. Es geht wohl um mehr als nur „Weiterleiten“ (Proxy-Theorie)?

Zum andern ist der Chat-Server nicht darauf ausgelegt, die parallele Verwendung mehrerer Geräte mit derselben Threema-ID zu ermöglichen.
Eine Grundvoraussetzung für serverbasierte Multi-Device-Funktionalität ist ein Verfahren, um mehrere Geräte zu einer Einheit zusammenzufassen.
Sozusagen ein „Multiplexer“? Dann wären alle Geräte für den Mediator-Server unterscheidbar, nur für den Chatserver sähe es so aus als sei es ein einzelner Cient.

Zunächst wird der «Device Group Key» aus dem privaten Schlüssel der Threema ID («Threema ID Private Key») abgeleitet. Dieser Device Group Key dient zur Verschlüsselung der Daten, welche Geräte derselben ID untereinander austauschen.

Was wie, die meinen damit sicher nicht, dass alle Gerät den selben Transportschlüssel verwenden? Das ist sicher ein Irrtum. Und den selben privaten Schlüssel?

Anschliessend wird der «Mediator Path Key» aus dem Device Group Key abgeleitet. Der Mediator Path Key wird zur Authentisierung gegenüber dem Mediator-Server verwendet.

OK, dann muss dieser Schlüssel wohl individuell pro Gerät sein? Aber der Mediator-Server authentisiert sich nicht gegenüber den Clients oder was? Das wäre ja eine Einladung für MITM-Angriffe… so schlecht kann das doch unöglich sein?

Der öffentliche Teil dieses Schlüssels dient dem Server als Identifikator für die Geräte, welche einer ID angehören, und heisst daher «Device Group ID».

Nö, keine individuele Kennung. Die authentisieren sich alle mit dem selben Schlüssel? Ja was, wie…

Jedes Gerät ist selbständig in der Lage, aus dem Threema ID Private Key denselben Device Group Key abzuleiten. Da der Mediator-Server nicht ermitteln kann, von welcher Threema-ID die Schlüssel abgeleitet wurden, verfügen wir über ein anonymes Gruppierungsverfahren für Geräte, welche derselben Threema-ID angehören. Und weil jegliches Schlüsselmaterial aus dem privaten Schlüssel abgeleitet wurde und nur die Clients den privaten Schlüssel kennen, ist es für den Server unmöglich, Schlüsselmaterial zu verändern.

Bis hierher wohl korrekt verstanden! Die Clients sind für den Mediator-Server nicht unterscheidbar.

Nach erfolgreicher Authentisierung ernennt der Mediator-Server eines der gegenwärtig mit dem Server verbundenen Geräte zum «Leader».

Wie unterscheidet er die denn? Läuft hier nebenbei noch irgendwas, was so genial einfach ist, dass es den Leser überfordern würde?

Dieses Gerät erhält die Aufgabe, Nachrichten vom Chat-Server an die anderen Geräte zu «reflektieren» (d.h. weiterzuleiten). Analog dazu muss jedes Gerät, welches eine Nachricht versendet, diese Nachricht via Mediator-Server an alle anderen Geräte reflektieren. Reflektierte Nachrichten werden mit dem Device Group Key Ende-zu-Ende-verschlüsselt.

Der erste Teil ergibt ja noch irgendwie Sinn. Also würde sinn ergeben, wenn man wüsste wie der Mediatorserver einen bestimmten dieser für ihn nicht unterscheidbaren Clients auswählt. Nach allem was wir wissen, habrn die auch keine Schlüssel getauscht, können also gar nicht sicher miteinander kommunizieren oder was?

Was dann kommt ist ein starkes Stück… der „Master“-Client (welcher ist das, der zuerst kommt? Der mit den ungeraden TCP-Sequenznummern?) sendet (per Broadcast-Routing???) „an allle auf dieser Frequenz“, und das nennen die "End to End verschlüsselt??? WTF! Die haben sich ja gar nicht gegeneinander authentisiert, wie soll das E2E sein? Jeder, der an den privaten Schlüssel eines beliebigen Endgerätes kommt (Multiplikation der Angriffsoberfläche), kann fortan die gesamte Kommunikation passiv (klandestin) mitschneiden? Das kann ja nicht wirklich so scheiße sein oder?

Und obendrein kann man dem Teilnehmer noch einen feindlichen Mediatorerver unterjubeln? Na wenigstens kann der nicht mithören. Oder doch? Da steht nichts davon, wie der „Leader“ mit dem Chatserver kommuniziert. Was wir wissen, ist dass der Chatserver nicht verändert wurde und dass diese Verbindung angeblich aktuellen Standards genügte.

Wenn jetzt ein beliebiger Client stellvertretend für alle mit dem Chatserver kommunizieren darf, wie verhindert der Mediatorserver, dass ein „böser“ Client sich einklinkt?

Ein Vorteil davon ist, dass Threemas Chat-Server in diesem Fall bloss die IP-Adresse des selbstgehosteten Mediator-Servers bekannt ist, nicht aber die IP-Adressen der einzelnen Geräte, was die Metadaten auf Threemas Server weiter verringert.

Achsooo, per NAT!!!11 Kann ja wohl echt nicht sein. Genial einfach!

Ich sehe hier nirgends eine möglichkeit, Clients zu revoken. Das heißt einmach unachtsam das Handy liegen gelassen oder beklaut worden oder „legal“ unter Zwang an der Grenze zum entsperren gedrängt worden, und schon ist man nicht nur auf immer spurenfrei abhörbar…

Nein,

es müssen auch Kontakte, Gruppenchats, Verteilerlisten und Nutzer-Einstellungen über alle Geräte hinweg abgeglichen werden.

Hier steht nun nichts mehr von End-to-End-Verschlüsselung. Was da aber steht, ist dass all diese Daten über den Mediator-Server laufen. Der möglicherweise nichtmal der ist, für den er sich ausgibt.

Entweder ist das lächerlich broken by Design, oder Ihre „mit Ockhams Rasiermesser designte“ Genialität ihrer Simplizität ist eine dreiste Lüge…

Sehr viel Handwaving. Wenn deren Präsentation von „End to End“-Verschlüsselung ein Maßstab sein darf, dann ist deren Sicherheit viellieicht nur so gut, wie das EU-Schmiergesetz es nun für alle vorschreiben wird.

Der „Mediation-Server“ ist eigentlich eine Microsoft Entwicklung und wurde anfangs als Communications-Server im „Stand-Alone Betrieb“ eingesetzt!
Weiterhin wurde der Mediation-Server als Server-Rolle im eigentlichen Lync-Server von MS eingesetzt, aber auch als Server-Rolle im Office Communications Server 2007 R2.
Nach diversen Weiterentwicklungen ist er heutzutage zu finden als: Mediation Server component in Skype for Business Server.

Das nur mal als kleine Info zwischendurch ! :sunglasses:

Okay, da hätte ich auch aufgehört zu lesen. Ich bin aber der Ansicht, dass man die Leute auch mit für Normalos halbwegs zugängiichen Argumenten gegen den Bullshit der illegalen Massenüberwacher und ihre willfährigen Helfer aus Industrie und „Community“ sensibilisieren muss.

Die mathematischen Beweise für die Sicherheit aktueller Kryptostandards dürfte für die meisten Menschen zu hoch sein. Ich gebe zu, dass ich dazu gehöre. Ich muss mir da aus der weltweit handvolll führender Experten diejenigen heraussuchen, denen ich vertraue.

Aber blind vertraue ich denen nicht. Ich schaue, was andere Experten auf deren Verständnisniveau zu ihnen und ihrer Forschung sagen. Ich schaue mir an, wie sie zu Organisationen oder Forschern stehen, die belegbar klar Position bezogen haben für Backdoorkrypto und mache selbst Factchecks, soweit meine Kompetenz das erlaubt.

Manche Crypto ist selbst führenden Experten zu hoch. Ich suchte gerade nach dem Artikel, falls ich ihn noch finde, liefere ich ihn nach. Ein Erlebnisbericht eines Kyptologen über sein Abenteuer, im Auftrag seines Arbeitsgebers von der NSA manipulierte Crypto einzubauen. War von einem der historisch belegten und gut dokumentierten Fälle.

Jedenfalls gab jener Kryptologe, ohne Zweifel einer der damals weltweit führenden Experten auf seinem Fachgebiet, in dem Interview unumwunden zu, dass er nicht verstand, was die NSA mit „seinem“ Algorithmus gemacht hatte. Er und sein Team wussten ohne jeden Zweifel, dass sie da gebackdoorte Krypto vor sich hatten. Aber für sie sah es aus, als hätte die NSA mit ein bischen Zauberei die Chiffre noch sicherer gemacht und nicht geschwächt! (Spoiler: hatten sie tatsächlich. Die teilen nämlich nicht gerne. Die guten Backdoors sind nur für Mitglieder…)

Das mal bitte im Hinterkopf behalten. [1]

Aber hier ein einfacher Schnüffeltest, den auch Normalos nachvollziehen können:

Ein roter Faden, der sich seit Jahrzehnten durch schlechte Kypto und Frontorganisationen von Geheimdiensten zieht, ist ein Appell an Autorität. Erst war es „vertraut uns, wir sind die Regierung“. Dann war es „Vertraut uns, wir sind neutral“. „Vertraut uns, wir sind Wissenschaftler“…

Inzwischen sind wir bei „vertraut uns, denn es wäre schlecht fürs Geschäft wenn wir euch verarschen würden und wir sind religiöse Kapitalisten“. Das ist noch eins der besseren Argumente. Die geben sich wenigstens Mühe.

Für viele der Facebook- und Google-konditionierten Menschen heute scheint aber schon „vertraut uns, wir sind die Guten“ zu reichen. Und damit ist „vertraut uns, wir sind die Guten“ zum demokratisch legitimierten Goldstandard für die Demontage des demokratischen Wertewestens geworden.

Davon müssen wir unbedingt schnell wieder wegkommen. Wir haben nur die eine Chance.

Threema recyclet alte Tropes. Nach „Vertraut uns, wir sind Schweizer“ kann ich aufhören zu lesen. Wenn die so einen Bullshit nötig haben, um Kunden zu gewinnen, dann sind sie wahrscheinlich von oben bis unten Bullshit.

Anfangs war deren Software noch proprietär. Open Source sind sie erst geworden, nachdem sie „expandieren“ wollten. Bin mir bis heute nicht so ganz über das Geschäftsmodell klar. Soll die Community schön weiterentwickeln, während sich die Gründer ums Geschäft kümmern, oder was?

Aber OK, noch ein letzter Blick: wenn ich aufmerksam den Wikipedia-Artikel lese, (der eine gute Gelegenheit für das Unternehmen ist, mit völlig korrekten
technischen Informationen überzeugende Werbung zu machen) und dann da steht „Threema uses asymmetric ECC-based encryption, with 256-bit strength.“ dann bin ich raus.

ECC ist der neueste Voodoo-Bullshit. ECC macht Krypto noch komplexer und die Handvoll Experten, die wirklich durchblickt wird noch kleiner. Ohne die verwendete Kurve zu benennen bzw. den zulässigen Parameterbereich, ist diese Aussage „wir verwenden ECC Crypto“ völlig wertloses Blendwerk.


Soviel zu Threema. Aber noch kurz zurück zum Bullshit und den daher angebrachten Schnüffelproben:

Führend in der Forschung zu ECC ist… die NSA. Die arbeiten schon länger daran, der handvoll weltweit führender zivilen Experten endlich eine magische Kurve unterzujubeln, deren Unsicherheit sich nicht beweisen lässt.

Das mit der „weltweit Handvoll Experten“ gilt natürlich nur für die, die ihre Forschung im Dienst der Allgemeinheit veröffentlichen. Ich konnte gerade keine Zahlen finden, wie viele Kryptologen die NSA beschäftigt. Nach den bekannt gewordenen Fakten müssen es aber wohl nicht wenige und auch keine schlechten sein, sie waren dem „State of the Art“ immer mindestens eine Nasenlänge voraus.

Daher fürchte ich, wenn man jetzt frühzeitig auf den ECC-Zug aufspringt, gibt man Diensten wie der NSA nur mehr Gelegenheiten, mit einem ihrer Zaubertricks Erfolg zu haben und dann ist das ganze Internet kaputt. Es gibt genug bewährte Verfahren, die von mehr erwiesenen Experten als „sicher genug“ beurteilt werden, Verfahren mit jahrelangem Track Record des Standhaltens gegen kryptanalytische Angriffe der fähigsten Forscher.

ECC mag die Zukunft sein, das kann ich (noch) nicht beurteilen. Aber wie bei aller neuartiger Software sollte man nicht gleich Release 1.0 in den Produktiveinsatz nehmen, wenn man unnötiges Risiko nicht mag.

[1] Finde den Artikel, so wie ich ihn erinnere nicht mehr, aber hier folgende Faktoide um zumindest die grundlegende Prämisse zu belegen :slight_smile:

  • Wikipedia.
    Zitat: „„We sent the S-boxes off to Washington. They came back and were all different.““
  • Schneier, Applied Cryptography, 1996:
    (hier in Auszügen wiedergegeben unter der Annahme von Fair Use. Sollte sich jemand daran stören, bitte entfernen. In dem Fall bitte selbst suchen: Kapitel 12)

The Data Encryption Standard jDES), known as the Data Encryption Algorithm jDEAI by ANSI and the DEA-l by the ISO, has been a worldwide standard for 20 years. Although it is showing signs of old age, it has held up remarkably well against years of cryptanalysis and is still secure against all but possibly the most powerful of adversaries.

12.3 SECURilY OF DES People have long questioned the security of DES [458]. There has been much spec­ulation on the key length, number of iterations, and design of the S-boxes. The S-boxes were particularly mysterious-all those constants, without any apparent reason as to why or what they’re for.

Design of the S-Boxes
In addition to being accused of reducing the key length, NSA was also accused of modifying the contents of the S-boxes. When pressed for design justification for the S-boxes, the NSA indicated that elements of the algorithm’s design were „sensitive“ and would not be made public. Many cryptographers were concerned that the NSA­designed S-boxes hid a trapdoor, making it possible for them to easily cryptanalyze the algorithm. Since then, considerable effort has gone into analyzing the design and operation of the S-boxes. In the mid-1970s, Lexar Corporation [961, 721] and Bell Laboratories (1120] examined the operation of the S-boxes. Neither analysis revealed any weak­nesses, although both found inexplicable features. The S-boxes had more features in common with a linear transformation than one would expect if they were chosen at random. The Bell Laboratories team stated that the S-boxes may have hidden trap­doors, and the Lexar report concluded with:

Structures have been found in DES that were undoubtedly inserted to strengthen the system against certain types of attack.Structures have also been found that appear to weaken the system.
12.4 Differential and Linear Cryptanalysis On the other hand, this report also warned: … the problem [of the search for structure in the S-boxes] is complicated by the ability of the human mind to find apparent structure in random data, which is really not structure at all.

Es war also nicht nur der (einer der) Designer selbst, sondern auch die führenden Forscher aus Wirtschaft und Akademia, die zwar sicher waren, dass an der durch die NSA veränderten Chiffre was komisch war, aber sie hatten keine Ahnung was und konnten es erst recht nicht beweisen.

In 1990, Eli Biham and Adi Shamir introduced differential cryptanalysis [167,168, 171, 172]. This is a new method of cryptanalysis, heretofore unknown to the public. Using this method, Biham and Shamir found a chosen-plaintext attack against DES that was more efficient than brute force.

Differential cryptanalysis works against DES and other similar algorithms with constant S-boxes. The attack is heavily dependent on the structure of the S-boxes; the ones in DES just happen to be optimized against differential cryptanalysis. And the attack works against DES in any of its operating modes-ECB, CBC, CFB, and OFB–with the same complexity [172].

Die NSA hatte also eine Backdoor entwickelt, deren Entdeckung erst durch 20 Jahre später entdeckte neueste Forschungserkenntnisse beweiswar wurde… und obendrein hatte die NSA diese erst 20 Jahre später in der akademischen Forschung gewonnenen Erkenntnisse vorhergesehen und Ihre Backdoor besonders gegen das Verfahren aus der Zukunft gehärtet.

Sicher haben die heute keine 20 Jahre Vorsprung mehr, aber man sollte auf keinen Fall so naiv sein und Motivation, Talent oder Budget zu unterschätzen. Stattdessen sollte man annehmen, dass sie ebenfalls aus ihren Fehlern lernen. Das cleverste, was sie tun könnten ist - ein Zaubertrick. Was auch sonst?

  • Einen geschwächten Standard offiziell zu propagieren, der noch relativ einfach erkennbar ist aber genug Tiefe hat um die hellsten Köpfe der akademschien Forschung sich daran wieder ein paar Jahre abarbeiten zu lassen.

  • Parallel durch „wssenschaftliche Veröffentlichung“ einen Standard bringen, der so schön komplex ist, dass die, die der Forschung überhaupt folgen können darin eine bahnbrechende, auf „eleganter Theorie“ basierende Entwicklung sehen (und sich dabei unglaublich gebauchpinselt fühlen dürfen, dass sie zu einer elitären Minderheit gehören, die das neue Verfahren „wirklich verstehen“).

Diese Forscher würden freiwillig und reinen Gewissens Ihre Reputation aufs Spiel setzen um diesen neuen Standard als richtungsweisend zu etablieren.

Klingt das irgendwie nach "Elliptic Curve Cryptography? Sicher Zufall.

Zu paranoid? Zu paranoid war gestern. Heute wissen wir, die Bond-Bösewichter gibt es wirklich. Und Bond-Bösewichter tun so etwas.